歐洲關于云主權的討論已從理念之爭演變為工程實踐問題。爭論的焦點不再是組織機構是否應掌控自身數據與AI工作負載，而是各國政府是否已建立起切實可行的管控框架。

SAP主權云業務總裁馬丁·梅爾茲（Martin Merz）認為，答案因國而異。

"一切從每個國家本身出發，"梅爾茲在馬德里舉行的SAP Sapphire歐洲峰會上接受Computer Weekly采訪時表示，"各國有其自身的法規和國家安全要求，這一點必須得到尊重。"

他理解現實帶來的種種無奈。他說，歐洲政界人士常常指出，歐洲擁有4.5億公民，綜合預算規模與美國相當，理應是一股強大的力量。但美國是一個統一的國家，歐洲并非如此，其云主權格局也映射出這種分裂。

對SAP而言，主權并非一個單一屬性，而是由四項核心要素疊加構成：數據主權，要求數據與元數據留存在特定國家或地區范圍內；運營主權，即只有具備相應國籍和安全許可的人員才能接觸相關數據；技術主權，包括在境內部署獨立的控制平面，而非依賴集中式控制；以及法律主權，確保適用的監管框架是客戶與政府共同認可的那一套。

在SAP的定義中，主權云不是一項配置選項，而是一種合規狀態。"要么是主權云，要么不是，沒有中間地帶，"梅爾茲說。

這一立場聽起來清晰明了，但歐洲的現實卻遠比這復雜。

步調各異，距離不一

法國和德國都已從政策愿景走向實際落地，但各自處于不同的成熟階段。法國圍繞SecNumCloud構建了主權云框架，這是由網絡安全機構ANSSI維護的認證標準，對數據隔離、運營管控與法律主權設有嚴格要求。

2026年3月，SAP在法國Bleu平臺上推出主權云服務。Bleu是Orange與凱捷（Capgemini）聯合成立的合資公司，在法國所有權框架下運行微軟Azure技術，并正積極推進SecNumCloud全面認證。

德國的Delos Cloud是SAP旗下的子公司，在德國聯邦信息安全辦公室（BSI）的主動監管下運營微軟Azure基礎設施，于2026年初正式投入生產使用。該平臺專為德國公共部門設計，符合BSI制定的云平臺要求，BSI同時負責監控和管理對外輸出的遙測數據。

梅爾茲透露，就在Sapphire峰會召開前兩周，他剛與德國數字化部長卡斯滕·維爾德伯格（Carsten Wildberger）會面，深入探討了主權部署的相關要求。兩國均已明確了架構設計，并完成了實際部署。框架已然就位，公共部門機構正在其上運行系統。

荷蘭則尚未走到這一步。該國雖積極參與歐洲主權議題的討論，最具代表性的舉措是荷蘭內閣通過了一份非正式文件，呼吁為公共行政機構建立更強大的云主權框架，但這份文件的內容意味深長——它并未提出荷蘭本國的框架方案，而是要求歐盟委員會來定義。荷蘭認為，云主權的界定標準最好在擬議中的《歐盟云與AI發展法》框架內加以明確。

2025年1月，荷蘭審計法院發布的一份報告顯示，受審政府云服務中有三分之二未完成強制性風險評估，數字主權與數據保護存在明顯漏洞。這些發現與Computer Weekly 2025年6月報道的相關擔憂相互印證——獨立專家曾警告，荷蘭的主權云計劃過于碎片化，難以在規模層面有效服務關鍵基礎設施。

審計法院副院長措辭直白地警告稱，包括美國在內的外國政府，有可能訪問或修改存儲于荷蘭政府系統中的數據。

當被直接問及荷蘭是否有任何關鍵基礎設施運營商正在以堪比法國或德國的水平運行SAP主權云基礎設施時，梅爾茲的回答頗為謹慎。"我們與荷蘭有合作，"他說，但未點名任何經過認證的部署案例。

這一差距并非可以輕描淡寫的小事。荷蘭是歐洲部分戰略意義最為重要的關鍵基礎設施所在地，各行業的組織機構已在云端ERP（企業資源規劃）上投入了大量資源。這些部署究竟具備怎樣程度的主權保護，是荷蘭公共部門及受監管的私營部門的監管機構、董事會和采購團隊必須正面回答的問題。

超大規模云服務商的悖論

對話之所以復雜，部分原因在于SAP的主權云產品并不能簡單地與超大規模云基礎設施劃清界限。SAP提供基于亞馬遜云科技（AWS）的主權部署，也通過Delos等合作伙伴關系在微軟Azure上提供服務，此外還有自有云基礎設施，以及面向情報機構等需要數據完全留在內部設施的客戶提供的本地部署選項。

哪種方案具備主權屬性，完全取決于相關地區的網絡安全機構批準了什么。

"如果AWS獲得了網絡安全機構的批準，那對我們而言它就是主權云，"梅爾茲說。他指出，歐洲部分軍事客戶只要有監管機構的批準，便可接受在AWS上運行主權工作負載，而另一些客戶則不接受這種方式。由此可見，主權性并非由底層基礎設施決定，而是由一種因行業、國家和各組織具體需求而各異的合規狀態所定義。

"確實有些客戶，上述所有方案對他們而言都不成立，"梅爾茲承認，"他們要求數據完全留在自己的數據中心，只有這樣才算是主權云。"

這一合規問題并不止步于基礎設施層面。隨著SAP大力推進其"自主企業"愿景，AI智能體的治理引入了一個并行的問責缺口，受監管行業的組織機構對此絕不能忽視。

SAP首席技術官菲利普·赫爾茲格（Philipp Herzig）在Sapphire峰會的媒體圓桌會議上直接回應了這一問題。他表示，當自主智能體出現錯誤判斷時，責任并不單獨歸屬于SAP。"歸根結底，這是一項共同責任，"赫爾茲格說。

他解釋道，AI治理的主要責任在于客戶一方——通過AI智能體中樞，IT部門負責設定策略、架構以及智能體行為的邊界條件。對于受監管行業的組織機構而言，這一治理層級不是可選項，而且必須在AI啟用之前就完成設計。

工業化進程中的速度壁壘

歐洲主權格局碎片化帶來的運營影響，在企業層面已清晰可見。

荷蘭船舶集團達門（Damen Shipyards）為全球20多個國家的海軍和商業運營商建造船舶，歷經數年，已將旗下約80%的實體整合到通過Rise with SAP提供的單一SAP S/4HANA Cloud平臺上。整體遷移工作基本完成，重心已轉向在財務、采購、供應鏈和項目管理領域釋放AI價值。

負責達門SAP項目的漢·科恩拉德（Han Coenraad）對這一方向表達了真誠的期待，尤其是圍繞SAP Joule的應用。"年輕員工都在使用它，從中獲得的效率加速是實實在在的，"他說。

然而，專門為歐洲國防部設計和建造軍艦的達門海軍（Damen Naval）部門，至今仍在運行本地部署的SAP系統。國防合規要求前端和第二線支持人員須經荷蘭情報機構的背景審查，而當前的云部署模式在結構層面尚無法滿足這一標準。

"我們在內部已經看到采用速度出現分化，"科恩拉德說，"而這并不是我們希望看到的。"

他的同事、ERP系統架構師肯尼·范·斯利文（Kenny van Sleuwen）認為，SAP主權云或許能夠成為將兩套環境統一到同一平臺的路徑，并預計荷蘭國防領域將跟隨德國和法國的步伐，將相關要求正式化。但在框架確立之前，這一差距將持續存在。

這不是技術問題，而是政策問題。

務實主義的陷阱

梅爾茲并非對歐洲協調一致的難度毫無體諒。他承認，美國作為統一的監管市場運作，而歐洲正嘗試在擁有不同法律傳統、不同國家安全機構和不同威脅評估的成員國之間協調主權云標準。

他開出的藥方是務實。"最成功的國家和客戶，是那些以務實方式起步的，"他說，"滿足監管要求，同時對新技術保持開放。"

然而，將務實主義作為長期策略的問題在于，它往往會將先行者的優勢固化。法國和德國已在構建符合本國標準的主權云基礎設施上投入大量資源，兩國的國防承包商和關鍵基礎設施運營商等組織機構，可以按照監管機構已批準的節奏推進云和AI的應用。而荷蘭仍在搭建能夠進行同等認證的框架。

梅爾茲表示，他歡迎全歐洲統一監管的到來，但對這一時間表并不樂觀。對于無法等待歐洲標準收斂的荷蘭組織機構而言，現實的問題是：在當前荷蘭框架下主權云究竟意味著什么，這一框架的發展速度是否足夠，以及在受監管程度最高、戰略意義最重要的行業尚無法推進AI應用的情況下，拖延的代價究竟有多大。

這些問題，SAP的工程團隊無法作答，答案在海牙。

Q&A

Q1：SAP定義的主權云包含哪些核心要素？

A：SAP將主權云定義為四項核心要素的疊加：數據主權（數據與元數據留存在特定國家或地區）、運營主權（只有具備相應國籍和安全許可的人員才能接觸數據）、技術主權（在境內部署獨立控制平面）和法律主權（適用客戶與政府共同認可的監管框架）。在SAP的定義中，主權云是一種合規狀態，要么達到，要么沒有，不存在中間地帶。

Q2：荷蘭關鍵基礎設施的云主權現狀與法國、德國相比差距在哪里？

A：法國已有Bleu平臺配合SecNumCloud認證，德國有受BSI監管的Delos Cloud，兩國均有正式框架和實際部署。荷蘭則缺乏本國認證體系，2025年審計報告顯示三分之二政府云服務未完成強制風險評估，荷蘭現仍依賴歐盟層面制定統一標準，SAP也未披露在荷蘭的任何經認證主權云部署案例。

Q3：達門海軍為什么不能遷移到SAP云端系統？

A：達門海軍為歐洲多國國防部建造軍艦，其國防合規規定要求前端和第二線支持人員須經荷蘭情報機構背景審查。目前的云部署模式在結構層面尚不支持這一標準，因此達門海軍仍保留本地部署的SAP系統。這一問題的根源不在技術，而在于荷蘭尚未建立類似法國和德國那樣的主權云認證框架。